Conducts passive external reconnaissance using OSINT to map attack surfaces from DNS records, cert logs, Shodan, social media, code repos, and breach databases. For pentest intel gathering.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
- 在渗透测试的初始侦察阶段收集情报,在主动扫描前进行信息收集
Conducts passive OSINT reconnaissance to map external attack surfaces from DNS records, cert transparency logs, search engines, social media, repos, and breach databases. For pentesting footprinting.
Maps organization's external attack surface via OSINT reconnaissance from public sources: DNS records, cert transparency logs, search engines, social media, repos, breach DBs. For pentest footprinting.
Conducts OSINT reconnaissance on target organizations to enumerate domains, employees, leaked credentials, tech stacks, and attack surfaces for red team exercises.
Share bugs, ideas, or general feedback.
不适用场景:跟踪、骚扰或未经授权地监视个人。OSINT 收集必须在授权演练范围内进行,并符合适用的隐私法律(GDPR、CCPA)。
枚举与目标相关的所有域名、子域名和 DNS 记录:
whoxy.com 或 domaintools.com 对注册者姓名、邮件和组织进行反向 WHOIS 查询,识别所有相关域名amass enum -passive -d target.com -o amass_subs.txt 从 40+ 个数据源进行被动子域名发现subfinder -d target.com -all -o subfinder_subs.txt 进行快速被动枚举crt.sh 证书透明度日志查询:curl -s "https://crt.sh/?q=%25.target.com&output=json" | jq -r '.[].name_value' | sort -udig target.com ANY,检查揭示邮件基础设施的 SPF、DKIM、DMARC 记录,枚举 MX 记录以识别邮件提供商dig axfr @ns1.target.com target.com 检查错误配置的 DNS 服务器在不直接扫描目标系统的情况下识别面向互联网的基础设施:
shodan search "ssl.cert.subject.cn:target.com" 查找所有具有目标域名 TLS 证书的面向互联网服务。同时按组织名称和 IP 范围搜索cloud_enum 等工具检查 S3 存储桶(target-com、target-backup、target-dev)、Azure Blob 存储(target.blob.core.windows.net)和 GCP 存储wafw00f target.com 识别可能掩盖源服务器 IP 的 Web 应用防火墙和 CDN 提供商web.archive.org)查找已删除的页面、旧版应用和被遗忘的端点收集员工信息和邮件地址,为社会工程学准备:
theHarvester -d target.com -b all -f harvest_results.html 从搜索引擎、LinkedIn 和数据源收集邮件hunter.io 确定邮件格式(first.last、flast、firstl)并验证可达性搜索暴露的凭据和敏感数据:
haveibeenpwned.com API 检查与目标域名相关的已泄露邮件地址org:target "password"、org:target "api_key"、org:target "secret"trufflehog 或 gitleaks 对目标的公开仓库进行自动化密钥扫描exiftool 提取元数据,以揭示内部用户名、软件版本、打印机名称和文件路径site:target.com filetype:pdf 查找公开文档site:target.com inurl:admin 查找管理面板site:target.com "index of /" 查找目录列表site:pastebin.com "target.com" 查找粘贴网站提及识别目标使用的技术、框架和服务:
whatweb target.com 或 Wappalyzer 浏览器扩展识别 CMS、框架、JavaScript 库、分析工具和服务器软件sslyze target.com 或 testssl.sh target.com 识别密码套件、协议版本、证书详情和密码学弱点v=spf1 include:_spf.google.com 表示使用 Google Workspace,MS=msXXXXXX 表示 Microsoft 365)apktool(Android)或 frida 分析硬编码 URL、API 端点和嵌入的凭据| 术语 | 定义 |
|---|---|
| OSINT | 开源情报;从公开可用来源(包括网站、社交媒体、公共记录和政府数据)收集的情报 |
| 被动侦察 | 在不直接与目标系统交互的情况下收集信息,不在目标日志中留下痕迹 |
| 主动侦察 | 涉及与目标系统直接交互(扫描、探测)的信息收集,可能被记录 |
| 证书透明度 | 证书颁发机构颁发的 TLS 证书的公开日志,可查询以发现子域名和基础设施 |
| 攻击面 | 未授权用户可尝试进入或从环境中提取数据的所有点的总和 |
| Google Dorking | 使用高级 Google 搜索操作符查找被搜索引擎索引的本不应公开的敏感信息 |
| 影子 IT | 由员工或部门在 IT 部门不知情或未批准的情况下部署的技术系统和服务 |
背景:一家科技公司签约了红队评估。在主动测试开始前,团队执行被动 OSINT 以映射攻击面并识别潜在入口点。目标是一家拥有 500 名员工、主域名为 techcorp.io 的 SaaS 公司。
方法:
.env 文件常见陷阱:
## 外部侦察报告 - TechCorp.io
### 攻击面摘要
- **发现的域名**:3 个(techcorp.io、techcorp.com、techcorpapp.com)
- **枚举的子域名**:所有域名共 147 个唯一子域名
- **唯一 IP 地址**:34 个 IP 映射至 AWS us-east-1 和 us-west-2
- **收集的邮件地址**:89 个有效企业邮件地址
- **暴露的服务**:通过 Shodan/Censys 识别到 12 个面向互联网的服务
### 关键发现
**1. 未经认证的 Elasticsearch 实例**
- 主机:52.xx.xx.xx:9200(elastic.techcorp.io)
- 索引数据:包含用户会话令牌和 PII 的应用日志
- 来源:Shodan 搜索 "ssl.cert.subject.cn:techcorp.io"
**2. 公开 GitHub 仓库中的 AWS 凭据**
- 仓库:github.com/former-dev/techcorp-scripts
- 文件:包含 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 的 .env 文件
- 状态:密钥似乎有效(未测试 - 超出被动侦察范围)
**3. 暴露内部文档的目录列表**
- URL:https://docs.techcorp.io/internal/
- 内容:架构图、网络拓扑、运行手册
- 来源:Google Dork "site:techcorp.io intitle:index.of"
### 建议
1. 立即轮换暴露的 AWS 凭据并审计 CloudTrail 日志
2. 限制 Elasticsearch 仅允许内网访问或添加认证
3. 禁用 docs.techcorp.io 上的目录列表并审计所有 Web 服务器
4. 在所有组织仓库中实施 GitHub 密钥扫描